IPTABLES Simples

Existem diversos artigos publicados na internet que falam sobre iptables, alguns mais simples e outros mais detalhados... O propósito deste post é disponibilizar de forma rápida e prática um simples mas  eficiente firewall para sua estação de trabalho.

Para os apressados:

Basta copiar as regras abaixo e gravá-las no arquivo /etc/iptables-regras
# Generated by iptables-save v1.4.0 on Tue Mar 24 11:39:00 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Tue Mar 24 11:39:00 2009

Após a gravação das regras, edite o arquivo /etc/rc.local e adicione a seguinte linha:
iptables-restore < /etc/iptables-regras

Pronto, o firewall está configurado e será carregado automaticamente na inicialização do seu sistema.

Existem outras formas de automatizar a carga das regras, no ubuntu por exemplo basta modificar o script /etc/network/interfaces para aplicar as regras automaticamente (a última linha foi adicionada)




auto eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables-regras

Entendendo as regras:
:INPUT DROP

Aplica a police DROP na chain INPUT (A chain INPUT é responsável por filtrar todo o tráfego que entra no firewall.)
:FORWARD DROP

Aplica a police DROP na chain FORWARD (A chain FORWARD é responsável por filtrar todo o tráfego que passará pelo firewall.)
:OUTPUT ACCEPT

Aplica a police ACCEPT na chain OUTPUT (A chain OUTPUT é responsável por filtrar todo o tráfego que sairá pelo firewall.)
-A INPUT -i lo -j ACCEPT

Libera todo o tráfego local
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

liberar todas as  conexoes internas que já tenham sido estabelecidas com a rede externa
-A INPUT -j DROP

Bloqueia todo o restante do tráfego que é destinado a máquina.

Para adicionar qualquer exceção, ou seja, caso você precise liberar um determinado tipo de tráfego destinado a sua máquina, basta adicionar as linhas antes de: -A INPUT -j DROP

No exemplo a porta 1863 estaria liberada (uso do msn)
# Generated by iptables-save v1.4.0 on Tue Mar 24 10:53:12 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -s 0/0 --dport 1863 -j ACCEPT
-A INPUT -p udp -s 0/0 --dport 1863 -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Tue Mar 24 10:53:12 2009

Recomendo para os interessados que visam um completo entendimento desta excelente ferramenta que é o iptables, um aprofundamento dos estudos. Para tanto existem excelentes artigos no vivaolinux e também no site do projeto netfilter
IPTABLES Simples IPTABLES Simples Reviewed by Unknown on quinta-feira, março 26, 2009 Rating: 5

Um comentário